Le RGPD (ou GDPR (en anglais General Data Protection Regulation) est le Règlement Général sur la Protection des Données, est une nouvelle réglementation européenne, entrée  een vigueur le 25 mai 2018 et qui définit les règles relatives à la protection des données personnelles des citoyens européens.

Les ‘Données à caractère personnel’  désignent toutes les informations relatif à une personne et sur base desquelles, celle-ci peut être identifiée directement ou indirectement, e.g.  nom, adresse, e-mail, adresse IP,  données de connexion, etc.

Le traitement quant à lui est défini  comme « toute opération effectuée sur ces données à caractère personnel » telle que« la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Au regard de la définition précitée, chaque entreprise participe nécessairement au  traitement de données à caractère personne.

Le RGPD  impose en matière de protection des données,  une série de nouvelles obligations à toute personne ou entreprise traitant des données à caractère personnel.

En substance, le RGPD :

  • renforce les principes de base  déjà prévues dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel
  • renforce les obligations  déjà prévues  dans la même loi;
  • prévoit des sanctions.

Quelques principes de base du RGPD

  • Licéité, loyauté et transparence
    Votre entreprise est tenue de traiter traiter les données à caractère personnel de manière licite, loyale et transparente au regard de la personne concernée.
  • Limitation des finalités
    Les données à caractère personnel ne peuvent être traitées que d’une manière compatible avec des finalités déterminées, explicites et légitimes.
  • Minimisation des données
    Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est  strictement nécessaire compte tenu des finalités pour lesquelles elles sont traitées.
  • Exactitude
    Les données à caractère personnel doivent être exactes et tenues à jour. Les données qui sont inexactes doivent être effacées ou rectifiées sans tarder.
  • Limitation de la conservation
    Les données à caractère personnel ne peuvent  être conservées que pour la durée temps nécessaire.  p
  • Intégrité et confidentialité
    Les mesures (technologiques et organisationnelles) nécessaires sont prises par l’entreprise afin pour garantir un traitement sécurisé des données à caractère personnel.

Les droits des personnes dont les données à caractère personnel sont traitées

  • Droit à l’information

L’identité et les coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données

*Les finalités du traitement auquel sont destinées les données ainsi que la base juridique du traitement

Les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant;
* La durée de conservation des données ou, à défaut, les critères utilisés pour déterminer cette durée;

*L’existence du droit d’accès et de rectification ou d’effacement des données, de limitation du traitement, le droit de s’opposer au traitement et le droit à la portabilité des données;

*Le droit de retirer son consentement à tout moment, pour les traitements basés sur l’article 6.1(a) ou 9.2(a);

*Le droit d’introduire une réclamation auprès d’une autorité de contrôle;
*L’existence d’une prise de décision automatisée, y compris un profilage;

  • Droit d’accès

Toute personne concernée a le droit d’accès et de copie des données à caractère personnel traitées

  • Droit à l’oubli (effacement)

Toute personne concernée a le droit de demander que ses données soient effacées dans les meilleurs délais.

  • Droit de rectification

Toute personne concernée a le droit de demander que des données inexactes ou incomplètes traitées soient rectifiées ou complétées

  • Droit d’opposition

Sauf exceptions légales, toute personne peut refuser que vous traitiez ses données.

  • Droit à la portabilités des données

Toute personne peut demander à récupérer ses données (dans une forme électronique, couramment utilisée et structurée) pour pouvoir changer de responsable de traitement de données.

  • Droit à la limitation du traitement

Toute personne concernée a le droit de demander, dans hypothèses particulières,  que ses données ne soient pas traitées.

  • Obligation de notification

Votre entreprise  doit informer/notifier  à la personne concernée toute rectification ou effacement de ses données.

Les conditions de traitement des données à caractère personnel

Pour pouvoir traiter les données à caractère personnel à l’une des conditions suivantes doit être satisfaite :
  • le traitement découle du consentement  spécifique et clair de la personne concernée. La personne concernée doit avoir librement et sciemment consenti, après avoir été informé;
  • le traitement découle de l’exécution d’un contrat auquel la personne concernée est partie ou pour exécuter des mesures précontractuelles prises à la demande de celle-ci;
  • le traitement découle de l’application d’une obligation légale à laquelle le responsable du traitement est soumis;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • le traitement s’avère nécessaire pour veiller aux intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

Les obligations imposées par le RGPD

  • La création d’un registre  des activités de traitement

Le RGPD exige que chaque responsable du traitement de données personnelles conserve une documentation interne sur les activités de traitement des données personnelles qui se déroulent sous sa responsabilité.

Ce registre reprendra notamment les informations :

– le responsable du traitement,

– le traitement des données, i.e.  finalité,  type de données, le support, période de stockage;

– les personnes avec lesquelles les données ont été partagées;

–  les  informations quant aux risques et les mesures de sécurité techniques et organisationnelles prises.

  • La désignation d’un délégué à la protection des données

Dans certains cas déterminés, le RGPD prévoit l’obligation de désigner au sein de votre entreprise,  un délégué à la protection des données ( DPO  « Data Protection Officer »).

Il convient de noter que seules les opérations de traitement à grande échelle exigent la désignation d’un DPO.

Selon le RGPD, « par traitement à grande échelle, on entend le traitement qui vise à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peut affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible.(…)

  • La rédaction d’une private policy (Déclaration de confidentialité sur la protection du traitement)

Votre entreprise doit rédigée dans un document de politique sur la protection du traitement des données.

Ce document doit se conformer à un ensemble d’obligations tenant essentiellement à fournir à la personne concernée certaines informations  relatifs au traitement de données à caractère personnel.

  • La tenue d’un registre des fuites de données

Votre entreprise doit consigner dans un registre interne toutes les fuites de données (e.g. vol/perted’ordinateur ou de clé usb,  cyberattaque, etc.) qui pourraient rendre publiques des données personnelles de vos collaborateurs, clients, partenaires, etc.

Lorsque vous êtes en présence d’une fuite de données, vous devez :

    •  avertir, dans les 72 heures, la commission de protection de la vie privée, après la détection de la fuite, uniquement s’il existe un risque pour les droits et les libertés de  vos collaborateurs, clients, partenaires.
  •   avertir vos collaborateurs, clients, partenaires, s’il existe un risque élevé pour leurs droits et leurs libertés.

Les sanctions en cas de non conformité au RGPD

En cas de non-respect du RGPD, l’Autorité de protection de données peut exiger du responsable de traitement ou de son sous-traitant de prendre des mesures correctrices, e.g. mise en conformité, limitation de traitement, rectification, etc.

En cas non respect du RGPD, la commission de protection de la vie privée pourra encore vous infliger une amende administrative :

    •  infraction simple : 10.000.000 euros, ou 2 % du chiffre d’affaires annuel ;
  •  infraction grave : 20.000.000 euros, ou 4 % du chiffre d’affaires annuel.